记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

从Instagram上窃取个人资料的土耳其黑客团伙

2019-03-04 12:20

社交平台的博主们通过营造自身的品牌形象来获取更多粉丝的关注,对于黑客来说,他们苦心经营的形象也能被视为商品对待,通过盗取账号/个人信息来饱其私囊。近日,一名Instagram平台上粉丝超过1.5万名的摄影师就遭遇了此类状况。

对该事件的进一步调查显示,黑客是通过网络钓鱼黑进她的账户的。虽然听起来似乎很简单,但我们也发现,针对Instagram上“网红”们的攻击,已经成为了某个土耳其语黑客群体的惯用手法,并且黑客们通过滥用Instagram的账户恢复程序,让受害者们即使按正常的申诉流程也要不回自己的账户。我们在研究时就曾看到过这样的案例:一些在Instagram上粉丝数在1.5万至7万之间的博主们,其个人资料遭到了黑客攻击,且再也未能找回,受害者包括著名演员、歌手,以及初创公司的老板等。

该团伙还从事数字勒索业务。一旦受害者试图与黑客取得联系,就会被要求支付赎金或裸照视频来赎回账户。当然,你即使真的打了钱或是发了裸照,结果往往也可能是“财色两空”。事实上,这种针对有影响力的社交媒体博主们的攻击,也完全符合我们之前对今年威胁形势的预测

1.jpg

图1.黑客盗取Instagram个人资料的流程图

攻击链

对钓鱼工具包的分析显示,其主机系统会阻止来自wget的请求。我们通过欺骗用户代理成功的获得了钓鱼工具。

攻击过程始于一封假装来自Instagram的钓鱼邮件,内容是促使用户验证账户,进而用户就能获得Instagram一枚蓝色的认证徽章。但需要注意的是,Instagram从来只有在用户申请之后才会进行认证,且不会向用户索要凭证。

2.png

图2.要求用户验证Instagram账号的钓鱼邮件截图

3.png

图3.用户被重定向到的钓鱼页面(左);另一个请求用户凭证的电子邮件的页面(中);在键入凭证并提交之后,用户将被重定向到“信息已验证”的页面(右)

一旦用户单击“验证帐户”按钮,将被重定向到一个钓鱼页面,要求填写生日、邮件地址和凭据。当我们第一次看到这些页面时,它们在输入上没有任何数据验证,即使提交了一个空表单,也会返回相同的页面。但是,该团体后来添加了基本数据验证,不允许用户提交空表单。

一旦攻击者可以访问受害者的Instagram个人资料和与该账户相关的电子邮件,就可以修改要回账户所需的信息。受害者还会被提示输入电子邮件凭证,提交后会出现一个持续4秒的通知,让用户觉得他们的账号已得到验证。之后钓鱼页面将转到Instagram网站上,这是网络钓鱼常用的策略——很可能受害者已经用cookie登录了,所以会跳转到其登录后的个人主页,让用户觉得此次“验证”是有效的。而因为我们是在一个干净的环境下测试钓鱼工具的,所以只有Instagram的登录页面。

黑客的手段

我们进一步调查了这些案件,以了解黑客的动机以及运作方式。在他们黑掉的Instagram个人资料中,他们把用户名改为了“natron_raze”,可能是为了提示用户账号被黑。与个人资料相关的电子邮件也会立刻被修改。之后,账户的邮箱会被再次更改,方法是向受害者发送大量Instagram安全邮件,询问这些修改是否合法。黑客还会试图通过毁损个人资料来吸引用户的注意。

4.png

图4.被黑后的账户

账户被盗后,会马上被一些账号关注,包括一些假账号,之前被盗的账号,还有黑客自己的账号。而过一段时间后,我们又观察到黑客从他的关注者列表中删除了一些被黑的账户,这可能是因为黑客已经意识到了他遭到了监控。

在一个案例中,我们看到黑客威胁要删除账户,或者永远不归还被盗的个人资料,除非受害者支付赎金,或者发送裸照视频。黑客还让其他人知道他窃取了另一个帐户,如图4所示。

5.png

图5:被黑客攻击并篡改的Instagram个人主页截图

用“Hesap Ebedi”(土耳其语,意为“账户”和“永恒”)搜索更多信息时,我们发现了一个黑客组织的论坛,并且上面有讨论如何借助Instagram的账户申诉流程管理被盗账户、使其所有者无法取回的内容。

6-1.png

6-2.png

图6.turkhackteam论坛上的帖子中提到了盗取Instagram账号的攻击动态

我们向Facebook和Instagram公布了调查结果,但在撰写本文时还没有收到两家公司的回复。

防御网络钓鱼

在上述的案例中,黑客诱使受害者提供个人信息以获得奖励(比如在显示在个人主页中的蓝色徽章),而其对Instagram邮件的模仿也很容易让用户掉进陷阱之中。以下是一些用户和企业需要注意到的危险信号:

· 使用该社交媒体之外的域名

· 可疑的字体样式(例如使用截图代替实际图像)

· 语法和标点错误

· 要求认证的电子邮件(社交媒体永远不会在它们安全的登录页面之外要求验证)

IOC

与钓鱼攻击有关的IP地址:

· 185[.]27[.]134[.]212

· 104[.]24[.]119[.]10

· 2606[:]4700[:]30[::]6818[:]760a

· 2607[:]f8b0[:]4864[:]20[::]243

与钓鱼攻击有关的URLs:

· hxxps://2no[.]co/2WPr35

· hxxps://confirm[-]service[.]tk

· hxxp://instagrambluetick[.]ml/?i=1

· hxxp://instagrambluetick[.]ml/mailconfirmation[.]php

· hxxp://instagrambluetick[.]ml/confirmed[.]php

· hxxps://Instagram[.]derainbow[.]es

· hxxp://urlkisaltma[.]com/27rjN

· hxxp://urlkisaltma[.]com/farES

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/how-a-hacking-group-is-stealing-popular-instagram-profiles/如若转载,请注明原文地址: http://www.hackdig.com/03/hack-54467.htm
知识来源: https://www.4hou.com/other/16473.html

阅读:58857 | 评论:0 | 标签:事件 Instagram

想收藏或者和大家分享这篇好文章→复制链接地址

“从Instagram上窃取个人资料的土耳其黑客团伙”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云